Firewall IP en Power Platform entornos

O firewall IP axuda a protexer os datos da túa organización limitando o acceso dos usuarios a Microsoft Dataverse só dende as localizacións IP permitidas. O firewall IP analiza o enderezo IP de cada solicitude en tempo real. Por exemplo, supoñamos que o firewall IP está activado no teu entorno de produción Dataverse e que os enderezos IP permitidos están nos intervalos asociados ás localizacións da túa oficina e non a calquera localización IP externa como unha cafetería. Se un usuario tenta acceder aos recursos da organización desde unha cafetería, Dataverse nega o acceso en tempo real.

Beneficios clave

Activar o firewall IP nos teus Power Platform entornos ofrece varias vantaxes fundamentais.

• Mitigar ameazas internas como a exfiltración de datos: un usuario malintencionado que tenta descargar datos de Dataverse utilizando unha ferramenta cliente como Excel ou Power BI desde unha localización IP non permitida é bloqueado para facelo en tempo real.
• Evitar ataques de reprodución de tokens: se un usuario rouba un token de acceso e intenta usalo para acceder Dataverse desde fóra dos intervalos de IP permitidos, Dataverse nega o intento de tempo real.

A protección do firewall IP funciona tanto en escenarios interactivos como non interactivos.

Como funciona o firewall IP?

Cando se fai unha solicitude a Dataverse, o enderezo IP da solicitude avalíase en tempo real contra os intervalos de IP configurados para o Power Platform entorno. Se o enderezo IP está nos intervalos permitidos, a solicitude está permitida. Se o enderezo IP está fóra dos intervalos de IP configurados para o ambiente, o firewall IP rexeita a solicitude cunha mensaxe de erro: A solicitude que estás tentando facer é rexeitada xa que o acceso á túa IP está bloqueado. Ponte en contacto co teu administrador para obter máis información.

Requisitos previos

• O firewall IP é unha característica de Ambientes xestionados.
• Debes ter unha Power Platform función de administrador para activar ou desactivar o firewall IP.

Activa o firewall IP

Podes activar o firewall IP nun Power Platform entorno mediante o Power Platform centro de administración ou a Dataverse API OData.

Activa o firewall IP mediante o Power Platform centro de administración

1. Inicia sesión no Power Platform centro de administración como administrador.

2. Seleccione Ambientes e, a seguir, seleccione un ambiente.

3. Seleccione Configuración>Produto>Privacidade e seguridade.

4. En Configuración do enderezo IP, configure Activar a regra de firewall baseada no enderezo IP en Activada.

5. En Lista de intervalos de IPv4 permitidos, especifique os intervalos de IP permitidos no formato de enrutamento interdominio sen clase (CIDR) segundo RFC 4632. Se tes varios intervalos de IP, sepáraos cunha coma. Este campo acepta ata 4.000 caracteres alfanuméricos e permite un máximo de 200 intervalos de IP.

6. Seleccione outras opcións, segundo corresponda:

   • As etiquetas de servizo que deben permitir o firewall IP: na lista, selecciona as etiquetas de servizo que poden evitar as restricións do firewall IP.
   • Permitir o acceso aos servizos de confianza de Microsoft: esta configuración permite servizos de confianza de Microsoft como a supervisión e asistencia ao usuario etc. para evitar as restricións do firewall IP para acceder ao Power Platform entorno con Dataverse. Activado de maneira predefinida.
   • Permitir o acceso de todos os usuarios da aplicación: esta configuración permite todos os usuarios da aplicación acceso de terceiros e de terceiros a Dataverse APIs. Activado de maneira predefinida. Se borra este valor, só bloqueará os usuarios de aplicacións de terceiros.
   • Activar o firewall IP no modo de só auditoría: esta configuración activa o firewall IP pero permite solicitudes independentemente do seu enderezo IP. Activado de maneira predefinida.
   • Enderezos IP de proxy inverso: se a súa organización ten proxies inversos configurados, introduza os enderezos IP dun ou máis, separados por comas. A configuración do proxy inverso aplícase tanto á vinculación de cookies baseada en IP como ao firewall IP.

7. Seleccione Gardar.

Activa o firewall IP mediante a Dataverse API OData

Podes utilizar a Dataverse API OData para recuperar e modificar valores nun Power Platform entorno. Para obter orientación detallada, consulte Consultar datos mediante a API web e Actualizar e eliminar filas da táboa mediante a API web (Microsoft Dataverse).

Ten a flexibilidade de seleccionar as ferramentas que prefire. Use a seguinte documentación para recuperar e modificar valores a través da Dataverse API OData:

• Use Insomnia con Dataverse Web API
• API web de inicio rápido con PowerShell e Visual Studio Code

Configure o firewall IP mediante a API OData

PATCH https://{yourorg}.api.crm*.dynamics.com/api/data/v9.2/organizations({yourorgID})
HTTP/1.1
Content-Type: application/json
OData-MaxVersion: 4.0
OData-Version: 4.0

Carga útil

[
    {
        "enableipbasedfirewallrule": true,
        "allowediprangeforfirewall": "18.205.0.0/24,21.200.0.0/16",
        "enableipbasedfirewallruleinauditmode": true,
        "allowedservicetagsforfirewall": "AppService,ActionGroup,ApiManagement,AppConfiguration,AppServiceManagement,ApplicationInsightsAvailability,AutonomousDevelopmentPlatform,AzureActiveDirectory,AzureAdvancedThreatProtection,AzureArcInfrastructure,AzureAttestation,AzureBackup,AzureBotService",
        "allowapplicationuseraccess": true,
        "allowmicrosofttrustedservicetags": true
    }
]

• enableipbasedfirewallrule : habilite a función configurando o valor en true, ou desactívao configurando o valor en false.

• allowiprangeforfirewall — Enumere os intervalos de IP que se deben permitir. Proporcionaos en notación CIDR, separados por coma.

  Importante

  Asegúrate de que os nomes das etiquetas de servizo coincidan exactamente co que ves na páxina de configuración do firewall IP. Se hai algunha discrepancia, é posible que as restricións IP non funcionen correctamente.

• enableipbasedfirewallruleinauditmode – Un valor de true indica o modo de só auditoría, mentres que un valor de false indica o modo de execución.

• allowservicetagsforfirewall – Enumera as etiquetas de servizo que se deben permitir, separadas por coma. Se non quere configurar ningunha etiqueta de servizo, deixe o valor nulo.

• allowapplicationuseraccess – O valor predeterminado é true.

• allowmicrosofttrustedservicetags – O valor predeterminado é true.

Importante

Cando Permitir o acceso aos servizos de confianza de Microsoft e Permitir o acceso a todos os usuarios da aplicación están desactivados, algúns servizos que utilizan Dataverse, como Power Automate fluxos, poden deixar de funcionar.

Proba o firewall IP

Debe probar o firewall IP para verificar que funciona.

1. Desde un enderezo IP que non estea na lista de enderezos IP permitidos para o contorno, navegue ata o Power Platform URI do seu contorno.

   A túa solicitude debe ser rexeitada cunha mensaxe que di: "A solicitude que estás tentando facer é rexeitada xa que o acceso á túa IP está bloqueado. Ponte en contacto co teu administrador para obter máis información."

2. Desde un enderezo IP que estea na lista de enderezos IP permitidos para o contorno, busque o Power Platform URI do seu contorno.

   Debería ter o acceso ao contorno que está definido polo seu rol de seguranza.

Recomendamos que probe primeiro o firewall IP no seu ambiente de proba, seguido do modo de só auditoría no ambiente de produción antes de aplicar o firewall IP no seu ambiente de produción.

Nota

De forma predeterminada, o punto final de TDS está activado no Power Platform entorno.

Requisitos de licenza para firewall IP

O firewall IP só se aplica en ambientes que están activados para Ambientes xestionados. Ambientes xestionados inclúense como un dereito nas licenzas autónomas Power Apps, Power Automate, Microsoft Copilot Studio, Power Pages e Dynamics 365 que dan dereitos de uso premium. Obtén máis información sobre as licenzas de entorno xestionado coa descrición xeral de licenzas para Microsoft Power Platform.

Ademais, o acceso para usar o firewall IP para Dataverse require que os usuarios dos ambientes nos que se aplica o firewall IP teñan unha destas subscricións:

• Microsoft 365 ou Office 365 A5/E5/G5
• Cumprimento de Microsoft 365 A5/E5/F5/G5
• Seguranza e cumprimento de Microsoft 365 F5
• Protección e regulación da información de Microsoft 365 A5/E5/F5/G5
• Xestión de riscos internos de Microsoft 365 A5/E5/F5/G5

Obtén máis información sobre estas licenzas

Preguntas máis frecuentes

Que cobre o firewall IP en Power Platform?

O firewall IP é compatible con calquera Power Platform entorno que inclúa Dataverse.

En canto tempo entrará en vigor un cambio na lista de enderezos IP?

Os cambios na lista de enderezos ou intervalos IP permitidos normalmente teñen efecto nuns 5-10 minutos.

Esta función funciona en tempo real?

A protección do firewall IP funciona en tempo real. Dado que a función funciona na rede capa, avalía a solicitude despois de completar a solicitude de autenticación.

Esta función está activada por defecto en todos os ambientes?

O firewall IP non está activado por defecto. O Power Platform administrador debe activalo para Ambientes xestionados.

Que é o modo de só auditoría?

No modo de só auditoría, o firewall IP identifica os enderezos IP que están a facer chamadas ao ambiente e permíteos a todos, estean dentro dun rango permitido ou non. É útil cando estás a configurar restricións nun Power Platform entorno. Recomendamos que active o modo só de auditoría durante polo menos unha semana e que o desactive só despois de revisar coidadosamente os rexistros de auditoría.

Esta función está dispoñible en todos os ambientes?

O firewall IP só está dispoñible para Ambientes xestionados .

Hai un límite no número de enderezos IP que podo engadir na caixa de texto do enderezo IP?

Podes engadir ata 200 intervalos de enderezos IP en formato CIDR segundo RFC 4632, separados por comas.

Que debo facer se as solicitudes de Dataverse empezan a fallar?

Unha configuración incorrecta dos intervalos de IP para o firewall IP pode estar causando este problema. Podes comprobar e verificar os intervalos de IP na páxina de configuración do firewall IP. Recomendamos que active o firewall IP no modo de só auditoría antes de aplicalo.

Como descargo o rexistro de auditoría para o modo só de auditoría?

Use a Dataverse API OData para descargar os datos do rexistro de auditoría en formato JSON. O formato da API do rexistro de auditoría é:

https://[orgURI]/api/data/v9.1/audits?$select=createdon,changedata,action&$filter=action%20eq%20118&$orderby=createdon%20desc&$top=1

• Substitúe [orgURI] polo Dataverse URI do entorno.
• Establece o valor da acción en 118 para este evento.
• Establece o número de elementos a devolver en top=1 ou especifica o número que queres devolver.

Os meus Power Automate fluxos non funcionan como se esperaba despois de configurar o firewall IP no meu Power Platform entorno. Que debo facer?

Na configuración do firewall IP, permite as etiquetas de servizo que aparecen en Enderezos IP de saída de conectores xestionados.

Configurei o enderezo do proxy inverso correctamente, pero o firewall IP non funciona. Que debo facer?

Asegúrate de que o teu proxy inverso estea configurado para enviar o enderezo IP do cliente na cabeceira reenviada.

A función de auditoría do firewall IP non funciona no meu entorno. Que debo facer?

Os rexistros de auditoría do firewall IP non se admiten nos arrendatarios habilitados para as chaves de cifrado de traer a túa propia chave (BYOK) . Se o teu inquilino está habilitado para traer a túa propia clave, todos os ambientes dun inquilino habilitado para BYOK só están bloqueados en SQL, polo que os rexistros de auditoría só se poden almacenar en SQL. Recomendamos que migres a chave xestionada polo cliente. Para migrar de BYOK a chave xestionada polo cliente (CMKv2), siga os pasos de Migrar ambientes de traer a túa propia chave (BYOK) a clave xestionada polo cliente.

O firewall IP admite intervalos de IP IPv6?

Actualmente, o firewall IP non admite intervalos IPv6.

Pasos seguintes

Seguranza en Microsoft Dataverse